既存のディレクトリと Office 365 を簡単に同期

対象: 新Office365 Office 365 Enterprise, Office 365 Midsize Business

(この記事は 2014 年 4 月 15 日に Office Blog に投稿された記事 Synchronizing your directory with Office 365 is easyの翻訳です。最新情報については、翻訳元の記事をご参照ください。)

今回は、Office 365 チームで ID 管理を担当するテクニカル プロダクト マネージャー Paul Andrew の記事をご紹介します。

Office 365 を使い始めたばかりのお客様の中には、内部リソースへのアクセスに使用しているユーザー ディレクトリをクラウド上のリソースへの接続に使用するために拡張する方法について、お悩みの方がいらっしゃると思います。Windows Azure Active Directory 同期ツール (DirSync) を使用すると、他のどの方法よりも簡単にディレクトリを同期することができます。これは、お客様のネットワーク上の Windows Server マシンで実行されるツールで、ユーザーをクラウドに同期します。DirSync はウィザード形式でインストールした後、わずか数分でセットアップ可能です。ユーザー ディレクトリを Office 365 に同期させる作業は、1 日もあれば完了できます。

今回の記事では、DirSync をスムーズに実装するために必要な基本情報をお伝えすると共に、この記事では紹介しきれない詳細な情報を掲載しているリンク先をご案内します。また、お客様のディレクトリと Azure Active Directory の同期を行う前に確認するべき事項についても説明しますので、ぜひご注目ください。Office 365 では、すべてのユーザー アカウントの保存、すべてのディレクトリ参照、およびユーザーのサインインの認証に Azure Active Directory を使用しています。

Office 365 との ID 統合のしくみについて既にご存知で、サービスの利用手順のみを確認したい場合は、FastTrack のページをご覧ください。

DirSync は、Office 365 にユーザー アカウントを送信してフェデレーションされたシングル サインオンのエントリポイントとして使用する場合と、ユーザー アカウントとパスワード ハッシュの両方を送信して同一サインオンに使用する場合があります。

シングル サインオンと同一サインオン

既にオンプレミスのディレクトリが存在する場合、DirSync とパスワード同期を併用するか、または DirSync と Active Directory フェデレーション サービスを併用するかを選択できます。いずれの場合でも DirSync ツールを使用します。シングル サインオンを使用する場合、ドメインに参加している PC に既にサインインしているユーザーは、パスワードを再入力しなくても自動的に Office 365 にサインインできます。シングル サインオンでは、DirSync と Active Directory フェデレーション サービスの両方を構成する必要があります。DirSync とパスワード同期を組み合わせると、「同一サインオン」と呼ばれる機能を使用できます。これは、PC で使用しているものと同じパスワードで Office 365 にサインインできる機能です。このとき、パスワードを再入力するか、パスワードをクライアントに保存しておく必要があります。同一サインオンを使用する場合はパスワードの再入力が必要ですが、シングル サインオンで必要となる追加のサーバー構成やハードウェア コストが不要で、ネットワークが複雑になることも回避できます。また、Microsoft Outlook リッチ クライアントでは、シングル サインオンが有効な場合でもユーザー名とパスワードの入力が必要です。

この記事に続いて、今後 2 件の記事を投稿する予定です。第 2 回は、クラウドでの ID 管理、DirSync とパスワード同期の併用、DirSync と Active Directory フェデレーション サービスの併用という、Office 365 で利用可能な 3 つの ID モデルについて、詳しいアドバイスをお伝えします。第 3 回は、シングル サインオンの実装に必要な手順と、Active Directory フェデレーション サービス (AD FS) に関するその他の機能について説明します。

AD FS を選択した場合でも DirSync はユーザー アカウントを Office 365 に同期する必要があるため、通常はまず DirSync とパスワード ハッシュ同期機能をセットアップし、その後 AD FS を追加するように推奨しています。

DirSync とパスワード ハッシュ同期機能のセットアップ

DirSync をインストールする前に以下の簡単な手順を実施することで、実装プロセスをスムーズに進められるようになります。

オンプレミスのディレクトリでは、4 つの項目について確認する必要があります。

1.    インストールの前にオンプレミスのディレクトリの構造を確認する

DirSync のインストールに先立ち、まず、オンプレミスのディレクトリが正常であるか、および Azure Active Directory への同期の準備が整っているかを確認する必要があります。このとき、下記の項目について確認します。

• Active Directory の修復: DirSync には、ディレクトリの属性について一定の要件があります。この属性の値を DirSync の要件に合うように調整することを、Active Directory の修復と呼びます。Active Directory を修復する際には、IdFix ツール (英語)の使用を推奨します。これは、ディレクトリを調査し、対話形式で Active Directory の修復を実行するツールで、userPrincipalName (UPN)、mailNickName、proxyAddress、sAMAccountName、targetAddress などの各属性を対象に、ディレクトリ内で無効なデータや重複するデータを検出し、修正作業を支援します。また、インターネットでルーティング可能なドメイン名を使用することが Azure Active Directory の要件に含まれているため、IDFix ツールには、ルーティング不可能な UPN ("domain.local" など) からインターネットでルーティング可能なドメイン名への移行を支援する機能もあります。IdFix ツールは、ドメイン コントローラーにアクセスできるように必ずネットワーク内部で実行してください。

• フォレストの機能レベル: ディレクトリのフォレストの機能レベルが、Windows Server 2003 フォレストの機能レベル、またはそれ以降になっていることを確認します。この条件が満たされていない場合は、DirSync をインストールする前にアップグレードする必要があります。詳細については、こちらのマイクロソフトのサポート技術情報の記事を参照してください。

• マルチフォレスト: 標準の DirSync ツールはマルチ フォレストに対応していません。アダプターを構成済みの Forefront Identity Manager 2010 の展開環境では、マルチ フォレストを Azure Active Directory に同期することができます。しかし、この場合、パスワード ハッシュ同期はサポートされません。

• Active Directory 以外のディレクトリ: Active Directory を使用せず、オンプレミスで他の種類のディレクトリを使用している場合、Office 365 はそのまま利用できますが、他のガイドを参照する必要があります。Azure Active Directory 同期では、LDAP v3、SQL データベース テーブル、CSV ファイルなどの Active Directory 以外のディレクトリ ソースも同期できます。また、Azure Active Directory を使用して手動でユーザーのプロビジョニングを更新する場合は、PowerShell のコマンドレットを使用できます。

DirSync で必要となるサーバー数は、1 ～ 4 台です。

2.    インストールの前に追加サーバーの必要性を判断する

DirSync のインストール前に行う次の作業として、オンプレミスのディレクトリにサーバーを追加する必要があるかどうか、以下の項目を踏まえて確認します。

• ドメインコントローラーと同じ場所へのインストールは非推奨: DirSync は既存のドメイン コントローラー上にインストールすることができますが、非常に小規模なディレクトリ、またはテスト用やパイロット用のトポロジ以外では、この方法は推奨されません。DirSync を既存のドメイン コントローラー上にインストールするときは、オンプレミスで新たにサーバーを追加する必要はありません。

• 最も一般的なケースではサーバー数は 1 台: DirSync を展開するときのサーバー数は 1 台であることがほとんどです。ただし、ディレクトリのオブジェクト数が 50,000 を超える場合には、別途 SQL Server をインストールする必要があります。ディレクトリのオブジェクト数は、ユーザーの他に連絡先やグループのユーザー オブジェクトも存在するため、実際のユーザー数よりも多くなります。サーバー要件の詳細については、TechNet のリストを参照してください。DirSync では、同期されている各ドメインのドメイン コントローラーと接続する必要があります。まれに、既存のドメイン コントローラーが常時アクセス可能な状態ではないことがありますが、この場合にはドメイン コントローラー サーバーを追加する必要があります。このとき、サーバーは合計で 4 台になります。

• Azure の使用の検討: DirSync、および必要となるすべての SQL Server データベースを Azure IaaS 環境に展開すると、オンプレミスで新たにサーバーを追加する必要はありません。詳細については、DirSync を Azure に展開する場合 (英語)についての記事をお読みください。

• DirSync のロードマップの使用: 「ディレクトリ同期のロードマップ」の内容のうち、Microsoft 展開準備ツールおよび UPN の更新に関する手順は、IdFix ツール (前述の手順 1 を参照) で自動的に処理されるため、参照しなくても構いません。このロードマップで注意しなければならない重要事項は、DirSync サーバーに正確な時刻を提供すること、管理者アカウントで Office 365 テナントを使用可能なこと、およびすべてのドメインのドメイン コントローラーが確実にネットワークに接続できることです。

DirSync のインストール ウィザードのスクリーン ショット

3.    DirSync のインストールと進捗状況の確認

準備手順のうち最も簡単な手順が、DirSync のインストールです。ダウンロードして、ドメインに参加しているコンピューターでウィザードを実行するだけで完了できます。インストール完了後、同期中にエラーが発生しないように下記の項目を確認する必要があります。

• ディレクトリオブジェクトの制限の確認: 新しい Office 365 テナントでは、既定では最大 50,000 個のディレクトリ オブジェクトを同期できます。テナントでバニティ ドメインを登録すると、この制限は 300,000 個まで拡大されます。また、サポート契約によっても拡大することができます。

• Office 365 へのドメインの追加: DirSync を使用する前に Office 365 にパブリック ドメイン名を追加する場合、サインインに使用する UPN が同期されます。パブリック ドメイン名を Office 365 に追加しなくても使用を開始できますが、この場合、Office 365 はすべてのユーザーに対して、カスタム ドメイン名ではなく UPN と onmicrosoft.com を組み合わせたドメイン名で表示されます。UPN をお客様のパブリック ドメイン名に戻すには、ドメインを追加した後にオンプレミス環境から同期内容を強制的に更新する必要があります。

• 同期の実行: DirSync は、3 時間ごとにディレクトリの同期を実行します。また、初期の同期処理では、1 時間あたり約 5,000 個のユーザー オブジェクトが同期されます。同期処理の初期化は、サーバーで PowerShell のコマンドから実行します。詳細については、TechNet にある DirSync のインストール ガイドを参照してください。また、パスワード ハッシュ同期を有効化している場合は、2 分ごとにパスワードの変更が同期されます。

• イベントログの確認: インストール完了後、DirSync を実行しているコンピューターでイベント ログを確認します。この作業に慣れていない方は、コマンド ラインから EVENTVWR.EXE を実行してください。Windows Logs フォルダーを開いてアプリケーション ログを表示します。解決が必要なエラーが発生すると、テナント管理者に電子メールの通知が届きますが、遅延が発生する場合があるため、イベント ログを表示する方が迅速にエラーを確認できます。DirSync で発生したエラーは、ディレクトリ同期としてイベント ソースのリストに表示されます。エラー コードのトラブルシューティングについては、こちらのサポート技術情報の記事を参照してください。

• Office 365 管理者アカウントのパスワードの有効期限の確認: DirSync で使用する Office 365 管理者アカウントのパスワードの有効期限を確認します。失効している場合は、DirSync でエラーが発生します。

• ライセンスの割り当て: 同期を終えた後は、Office 365 の使用ライセンスを割り当てる必要があります。この手順は、Office 365 管理センターから実行するか、Technet のこちらの記事 (英語)に従って PowerShell から実行することができます。

Azure AD へのパスワード同期は安全に処理されるため、元のパスワードが取得されることはありません。

DirSync に関するその他の考慮事項

ここからは、多くの皆様からよく質問を受けるその他の確認事項について説明します。

• 高可用性: 企業によっては、高可用性の要件が存在する場合があります。DirSync が実行できるサーバーは 1 台のみに限定されますが、これは高可用性の確保には影響しません。DirSync サーバーがオフラインでも、認証時に Azure Active Directory が DirSync サーバーと接続する必要はないので、ユーザーは引き続きサインインすることができます。ユーザーの高可用性の確保とパスワード ハッシュ同期について不安がある場合は、高可用性シナリオに従って SQL Server を実装できます。また、既に DirSync をインストールしたサーバーをコールド スタンバイとして構成することもできます。ユーザーの同期は 3 時間ごとに実行されますが、それに対して DirSync のインストールと同期の再開は非常に短い時間で行われます。初回の同期処理にはある程度の時間が掛かりますが、DirSync を再インストールして更新する手順は、復元用の SQL Server データベースを適切に準備するよりもはるかにすばやく実施できます。詳細については、こちらのドキュメント (英語)を参照してください。

• ハッシュのセキュリティ: パスワード ハッシュを Azure Active Directory に保存することについて、お客様の企業のセキュリティ部門が懸念するかもしれませんが、マイクロソフトと Office 365 チームでは、セキュリティは何よりも優先されるべき事項であると考えています。オンプレミスの Active Directory ドメイン サービスでパスワードを保存する際には、実際のユーザー パスワードをハッシュ値の形式で表します。このパスワード ハッシュは、オンプレミス ネットワークへのログインには使用できません。また、これを逆引きしてユーザーのパスワードをプレーン テキスト形式で入手しアクセスすることもできない設計になっています。パスワードを同期するには、DirSync ツールがユーザー パスワードのハッシュをオンプレミスの Active Directory から抽出する必要があります。この他にも、パスワードを Azure Active Directory に同期する前に適用されるセキュリティ処理があります。Office 365 のセキュリティについての詳細は、Office 365 セキュリティ センターを参照してください。

• DirSync のフィルタリング: 既定では、DirSync は Azure Active Directory のすべてのユーザーを同期します。しかし、同期対象は、企業の部署やドメイン、またはユーザー属性によって絞り込むことができます。この詳細については、TechNet の記事を参照してください。同期対象となったユーザーの属性は、すべて同期されます。同期する属性を選択することはできませんので、ご注意ください。

この記事に加え、DirSync に関するよく寄せられる質問 (英語)、DirSync のバージョンに関する情報 (英語)、DirSync コミュニティのページ (英語)などもご覧いただくことをお勧めします。

Office 365 をオンプレミスのシステムに接続すると、非常に強力なエクスペリエンスが得られます。ディレクトリ同期は簡単に使用できますので、Office 365 をセットアップする際には、ぜひ最初に実行していただければ幸いです。

-- Paul Andrew、@pndrw